Założenia i cele ustawy
Wraz z końcem kwietnia Rada Ministrów przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji, natomiast na początku maja projekt trafił do Sejmu. Przepisy umożliwią wydawanie europejskich
i krajowych certyfikatów dla produktów, usług i procesów ICT.
Resort liczy, że ustawa przyczyni się do zwiększenia świadomości znaczenia cyberbezpieczeństwa w sektorze przedsiębiorstw i skłoni przedsiębiorców do stosowania bezpieczniejszych, sprawdzonych rozwiązań. Zwiększenie zakresu wykorzystania narzędzi odpornych na cyberataki przyczyni się do podniesieniu poziomu bezpieczeństwa obywateli.
Możliwa będzie certyfikacja:
- produktów i usług ICT,
- procesów organizacyjnych,
- usług związanych z zarządzaniem bezpieczeństwem,
- systemów zarządzania cyberbezpieczeństwem,
- osób spełniających wymogi określone w schematach certyfikacyjnych.
Charakterystyka systemu certyfikacji
Trzeba podkreślić, że certyfikacja w zakresie cyberbezpieczeństwa będzie procesem całkowicie dobrowolnym i będzie odbywała się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku.
Projektowana ustawa tworzy ramy, w jakich będzie wykonywana certyfikacja, ale nie nakłada żadnych obowiązków na podmioty działające na rynku. Każdy chętny będzie mógł rozpocząć działalność w tym zakresie oraz uzyskać certyfikację swojego produktu ICT, usługi ICT, procesu ICT lub usługi zarządzanej w zakresie bezpieczeństwa (równocześnie nie będąc do tego zobowiązanym). Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą uznawane przez wszystkie państwa członkowskie Unii Europejskiej.
Zasady i znaczenie certyfikatów
Każdy certyfikat będzie wskazywał:
- dla kogo został wydany,
- w ramach jakiego schematu certyfikacji cyberbezpieczeństwa,
- okres, na który został wydany,
- przedmiot certyfikacji, datę jego wydania i podpis.
Certyfikat będzie posiadał swoje indywidualne oznaczenie i zostanie wydany na wzorze ustalonym dla danego schematu. Zapewni to transparentność certyfikatów, ułatwi posługiwanie się nimi oraz pozwoli na skuteczną promocję krajowych schematów certyfikacji cyberbezpieczeństwa.
Krajowy certyfikat będzie wydawany na okres nie krótszy niż 2 lata i nie dłuższy niż 5 lat.
Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru, a certyfikat stanie się gwarancją cyfrowego bezpieczeństwa.
Certyfikacja będzie potwierdzeniem, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność m.in.: w relacjach z klientami czy partnerami biznesowymi.
Akredytacja i nadzór nad systemem
Aby prowadzić ocenę zgodności produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa systemów zarządzania cyberbezpieczeństwem oraz osób fizycznych, zainteresowane podmioty będą musiały uzyskać akredytację Polskiego Centrum Akredytacji (PCA).
Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki ważności certyfikatów we wszystkich państwach członkowskich UE, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.
Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność.
Każdy będzie mógł złożyć skargę na działania jednostki certyfikującej. Dokładną procedurę postępowania będą określały same jednostki oceniające zgodność i publikowały ją na swoich stronach internetowych. Musi jednak wystąpić gwarancja, że skargę rozpatrują inne osoby niż te, które podejmowały dane działanie podjęte podczas certyfikacji.
Schematy krajowe i rola ministra
Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. Wówczas możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE.
Minister Cyfryzacji we współpracy z Polskim Centrum Akredytacji będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie również odpowiedzialny za:
- nadzór nad jednostkami certyfikującymi,
- wyjaśnianie nieprawidłowości zgłoszonych przez obywateli,
- kontrolę zgodności produktów z programami certyfikacyjnymi.
W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów.
